恶意代码技术理论:VBA 调试一些方法
byte转string Private Function ByteArrayToHex(ByRef ByteArray() As Byte) As String Dim lb As Long, ub As Long Dim l As Long, strRet As String Dim lonRetLen As Long, lonPos……
恶意代码技术理论:VBA Debug Print(调试输出)
参考链接:https://www.wallstreetmojo.com/vba-debug-print/ Debug 是 VBA 中的一个对象,与 Assert 和 Print 这两种方法一起使用。在 VBA 中,Debug.Print 语句用于编码程序的任何地方,以在 即时窗口(ctrf+G) 中显示变量或消息的值。这些不需要任何确认,并且不会对开发的代码……
恶意代码技术理论:curl模仿mshta协议下载载荷
curl -H “Accept: /” -H “Accept-Language: ru,en0US;q=0.3” -H “UA-CPU: AMD64” -H “Accept-Encoding: gzip, deflate” -H “User-Agent……
恶意代码技术理论:分级保护域
简介 在计算机科学中, 分级保护域(英语:hierarchical protection domains,经常被叫作保护环(Protection Rings),又称环型保护(Rings Protection)、CPU环(CPU Rings),简称Rings。这是一种用来在发生故障时保护数据和功能,提升容错度,避免恶意操作 ,提升计算机安全的设计方式。这是一种……
恶意代码技术理论:msi恶意代码分析
简介 MSI文件是Windows Installer的数据包,它实际上是一个数据库,包含安装一种产品所需要的信息和在很多安装情形下安装(和卸载)程序所需的指令和数据。 MSI文件将程序的组成文件与功能关联起来。此外,它还包含有关安装过程本身的信息。如目标文件夹路径、系统依赖项、安装选项和控制安装过程的属性。采用MSI安装的优势在于你可以随时彻底删除它们,更改……
基于LLVM的可重定向机器代码反编译器-RetDec
https://github.com/avast/retdec LLVM IR 指令序列 LLVM IR 是 LLVM Intermediate Representation(中间形似),它是一种 low-level languange,是一个像RISC的指令集 LLVM是一组编译器和工具链技术,可用于开发任何编程语言的前端和任何指令集架构的后端。LLVM……
恶意代码漏洞分析:CVE-2022-30190(FOLLINA)分析
简介 2022年5月27日,安全研究人员nao_sec上传了一个样本,称这个样本从白俄罗斯上传,使用了一系列技巧来运行恶意 PowerShell 脚本。 MD5:52945af1def85b171870b31fa4782e52 SHA1:06727ffda60359236a8029e0b3e8a0fd11c23313 SHA256:4a24048f81afb……
恶意代码技术理论:Confuserex
官方地址:https://yck1509.github.io/ConfuserEx/ github地址:https://github.com/yck1509/ConfuserEx ConfuserEx 是一个免费的、开源的 .NET 应用程序保护器。它是Confuser项目的继承者。 这个打包程序使用 LZMA 压缩算法减少了输出的大小。项目中只能有一个可执……
恶意代码技术理论:命名管道
命名管道如何工作 服务器负责设置命名管道,然后等待一个或多个客户端连接。然后,服务器和客户端将命名管道视为一个文件,使用 CreateFile、ReadFile 和 Write 文件通过管道进行通信。完成后,它们都可以像标准文件一样关闭管道。 利用powershell创建命名管道 try { $pipeName = "bad_pipe" $pipe……
恶意代码技术理论:修改capa输出自定义消息
flare-capa模块 适用于capa3.0.3 capa_ana.py #!/usr/bin/env python3 # -*- coding: utf-8 -*- # @Time : 2021/12/14 13:24 # @Author : wing import re import sys import json from……